2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称“密码法”),并自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
那么密码法的正式发布,对企事业单位有什么影响,企事业单位又需要了解哪些内容?本文梳理如下内容:
1、密码定义
谈到密码,很多人会想到 “银行卡密码”“社交账号密码”“登录密码”,但这些“密码”实际上是一种简单、初级的身份认证手段。而密码法中明确密码的定义为:采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。根据定义,按照功能形态,密码分为密码技术,密码产品和密码服务。密码技术,是指采用特定变换的方法对信息等进行加密保护,安全认证的技术。密码产品是承载密码技术,实现密码功能的实体。密码服务是基于密码技术和产品,实现密码功能的行为。
2、密码分类管理
国家对密码实行分类管理,将密码分为核心密码、普通密码和商用密码。其中,核心密码、普通密码用于保护国家秘密信息,属于国家秘密。商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
3、关键信息基础设施的商用密码要求
密码法进一步明确法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,同时规定运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。如未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,将承担相应的法律后果。
4、部分商用密码产品实行强制性检测认证制度
密码法在贯彻落实党中央、国务院放管服改革有关精神的前提下,规定涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。同时,商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
密码法对企事业单位有哪些影响
1、针对涉密企事业单位
对涉及国家秘密的信息,涉密企事业单位应当使用核心密码、普通密码进行保护,并按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理、监督和审查制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全,配合密码管理部门的指导、监督和检查工作。如发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,并在保密行政管理部门、密码管理部门的指导下及时消除安全隐患。
2、针对非涉密企事业单位
非涉密企事业单位可选择使用商用密码保护网络和信息安全。如非涉密企事业单位作为关键信息基础设施的运营者,应当使用商用密码对于关键信息基础设施进行保护,并自行或者委托商用密码检测机构开展商用密码应用安全性评估。同时,关键信息基础设施的运营者如采购涉及商用密码的网络产品和服务,可能影响国家安全的,还应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。